# Wazuh için Custom Rule # Amaç Unknown user or bad password. 5 dakikada aynı kullanıcı adı ve şifre için bu hatayı alıyorsak bunu bir mail ile ilgililere bildirmek. ## Adımlar 1. EventID ile ilişkili Rule'u bulmaca (rule'un yanında 0580-win-security_rules.xml 'e bak RuleID=60122) [![](https://books.netdev.com.tr/uploads/images/gallery/2023-02/scaled-1680-/image-1676126161793.png)](https://books.netdev.com.tr/uploads/images/gallery/2023-02/image-1676126161793.png) 2. Bu Rule'u notepad veya benzeri bir alana kopyala 3. /var/ossec/ruleset/rules/0580-win-security_rules.xml dosyasını aç. 60122 ID li kuralı bul. Nano ile ^w kullanabilirsiniz. 60105 ^529$|^4625$ no_full_log Logon failure - Unknown user or bad password. T1078 T1531 authentication_failed,gdpr_IV_32.2,gdpr_IV_35.7.d,gpg13_7.1,hipaa_164.312.b,nist_800_53_AC.7,nist_800_53_AU.14,pci_dss_10.2.4,pci_dss_10.2.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC$ 4. Custom Rule'ların ID leri 100.000 ile 120.000 arası olması gerekiyor. Bu nedenle 3 ncü adımda kopyaladığımız Rule da ID yi değiştir. Örn=1000001 yap. Aşağıdaki gibi olmalıdır 60105 ^529$|^4625$ no_full_log Logon failure - Unknown user or bad password(HM). T1078 T1531 authentication_failed,gdpr_IV_32.2,gdpr_IV_35.7.d,gpg13_7.1,hipaa_164.312.b,nist_800_53_AC.7,nist_800_53_AU.14,pci_dss_10.2.4,pci_dss_10.2.5,tsc_CC6.1,tsc_CC6.8,tsc_CC7.2,tsc_CC$ Not: Rule Id satırındaki frequncy (300 saniye de 2 kez olursa) ve level parametrelerini eklemeyi unutma!!! 5. wazuhu yeniden başlat. sudo systemctl restart wazuh-manager